利用XForwardedFor伪造客户端IP漏洞成因及防范

36次阅读

共计 3049 个字符,预计需要花费 8 分钟才能阅读完成。

问题背景

在 Web 应用开发中,经常会需要获取客户端 IP 地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个 IP 地址只能投票一次。

如何获取客户端 IP

在 Java 中,获取客户端 IP 最直接的方式就是使用 request.getRemoteAddr()。这种方式能获取到连接服务器的客户端 IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网 Web 应用很少会将应用服务器直接对外提供服务,一般都会有一层 Nginx 做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用request.getRemoteAddr() 获取到的 IP 地址是 Nginx 所在服务器的 IP 地址,而不是客户端的 IP。

HTTP 协议是基于 TCP 协议的,由于 request.getRemoteAddr() 默认获取到的是 TCP 层直接连接的客户端的 IP,对于 Web 应用服务器来说直接连接它的客户端实际上是 Nginx,也就是 TCP 层是拿不到真实客户端的 IP。

为了解决上面的问题,很多 HTTP 代理会在 HTTP 协议头中添加 X-Forwarded-For 头,用来追踪请求的来源。X-Forwarded-For的格式如下:

X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For包含多个 IP 地址,每个值通过逗号 + 空格分开,最左边(client1)是最原始客户端的 IP 地址,中间如果有多层代理,每一层代理会将连接它的客户端 IP 追加在 X-Forwarded-For 右边。

下面就是一种常用的获取客户端真实 IP 的方法,首先从 HTTP 头中获取 X-Forwarded-For,如果X-Forwarded-For 头存在就按逗号分隔取最左边第一个 IP 地址,不存在直接通过 request.getRemoteAddr() 获取 IP 地址:

public String getClientIp(HttpServletRequest request) {String xff = request.getHeader("X-Forwarded-For");
    if (xff == null) {return request.getRemoteAddr();
    } else {return xff.contains(",") ? xff.split(",")[0] : xff;
    }
}

另外,要让 Nginx 支持 X-Forwarded-For 头,需要配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

$proxy_add_x_forwarded_for会将和 Nginx 直接连接的客户端 IP 追加在请求原有 X-Forwarded-For 值的右边。

伪造 X -Forwarded-For

一般的客户端(例如浏览器)发送 HTTP 请求是没有 X-Forwarded-For 头的,当请求到达第一个代理服务器时,代理服务器会加上 X-Forwarded-For 请求头,并将值设为客户端的 IP 地址(也就是最左边第一个值),后面如果还有多个代理,会依次将 IP 追加到 X-Forwarded-For 头最右边,最终请求到达 Web 应用服务器,应用通过获取 X-Forwarded-For 头取左边第一个 IP 即为客户端真实 IP。

但是如果客户端在发起请求时,请求头上带上一个伪造的 X-Forwarded-For,由于后续每层代理只会追加而不会覆盖,那么最终到达应用服务器时,获取的左边第一个 IP 地址将会是客户端伪造的 IP。也就是上面的 Java 代码中getClientIp() 方法获取的 IP 地址很有可能是伪造的 IP 地址,如果一个投票系统用这种方式做的 IP 限制,那么很容易会被刷票。

伪造 X-Forwarded-For 头的方法很简单,例如 Postman 就可以轻松做到:

当然你也可以写一段刷票程序或者脚本,每次请求时添加 X-Forwarded-For 头并随机生成一个 IP 来实现刷票的目的。

如何防范

方法一

在直接对外的 Nginx 反向代理服务器上配置:

proxy_set_header X-Forwarded-For $remote_addr;

如果有多层 Nginx 代理,内层的 Nginx 配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

在最外层 Nginx(即直接对外提供服务的 Nginx)使用 $remote_addr 代替上面的 $proxy_add_x_forwarded_for,可以防止伪造X-Forwarded-For$proxy_add_x_forwarded_for 会在原有 X-Forwarded-For 上追加 IP,这就相当于给了伪造 X-Forwarded-For 的机会。而 $remote_addr 是获取的是直接 TCP 连接的客户端 IP,这个是无法伪造的,即使客户端伪造也会被覆盖掉,而不是追加。

需要注意的是,如果有多层代理,只在直接对外访问的 Nginx 上配置 X-Forwarded-For$remote_addr,内层的 Nginx 还是要配置为$proxy_add_x_forwarded_for,不然内层的 Nginx 又会覆盖掉客户端的真实 IP。

完成以上配置后,业务代码中再通过上面的 getClientIp() 方法,获取 X-Forwarded-For 最左边的 IP 地址即为真实的客户端地址,且客户端也无法伪造。

方法二

Tomcat 服务器解决方案:org.apache.catalina.valves.RemoteIpValve

RemoteIpValve可以替换 Servlet API 中 request.getRemoteAddr() 方法的实现,让 request.getRemoteAddr() 方法从 X-Forwarded-For 头中获取 IP 地址。也就是在业务代码中不需要再自己实现类似于上面的 getClientIp() 方法来从 X-Forwarded-For 中获取 IP,而是直接使用 request.getRemoteAddr() 方法。想要使用RemoteIpValve,仅需要在 Tomcat 配置文件 server.xml 中 Host 元素内末尾加上:

<Valve className="org.apache.catalina.valves.RemoteIpValve" ... />

RemoteIpValve有一套防止伪造 X-Forwarded-For 的机制,实现思路:遍历 X-Forwarded-For 头中的 IP 地址,和方法一不同的是,不是直接取左边第一个 IP,而是从右向左遍历。遍历时可以根据正则表达式剔除掉内网 IP 和已知的代理服务器本身的 IP(例如 192.168 开头的 IP),那么拿到的第一个非剔除 IP 就会是一个可信任的客户端 IP。这种方法的巧妙之处在于,即使伪造 X-Forwarded-For,那么请求到达应用服务器时,伪造的 IP 也会在X-Forwarded-For 值的左边,真实的 IP 为放到右边的某个位置,从右向左遍历就可以避免取到这些伪造的 IP 地址。

方法三

Node.js 框架 Egg.js 的解决方案:https://eggjs.org/zh-cn/tutor…

Egg.js 可通过设置 maxProxyCount 指定代理层数,然后取 X-Forwarded-For 头中从右往左数第 maxProxyCount 个 IP 即为真实 IP 地址,如果有伪造 IP 地址了必然在最左边,就会被忽略掉。

正文完
 0